事故から学ぶ

吉備国際大学、掲示板システムで個人情報漏えい

事故概要

業種 吉備国際大学
発生時期 2019/05/21
漏えい人数 未発表
事故概要

吉備国際大学大学院(通信制)知的財産学研究科が、学生との情報共有のために使用している掲示板システムにおいて、セキュリティ対策が十分になされていなかったことが判明したと発表した。
問題があったのは、吉備国際大学大学院(通信制)知的財産学研究科の在学生・修了生向けの掲示板システムで、掲示板システムに投稿された添付ファイルが、本来閲覧者となっていない一般ユーザーからも閲覧可能となっていた。投稿には、個人情報(学生番号、氏名、住所、電話番号、メールアドレス、科目の評価の一部など)が含まれるファイルが添付されているものがあり、個人情報漏えいの可能性があるとのこと。
学校では再発防止に取り組み、個人情報の保護に万全を尽くすとしている

引用元 吉備国際大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

システム管理の事業者が不明だが、自社にせよ外部委託にせよ、長期間気づかなかったのは怠慢である。

具体例:

これは基本的な動作確認、安全管理措置点検が不足し招いた事態である。さらに、アクセスログを毎日確認すれば見つけられた可能性が高い。個人情報を守るのは、事業者の責務である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。